1Passord ble ikke brutt eller kompromittert; de bekymringsfulle varslene om passordendringer kom fra feilhåndtering
Natt til 27. april mottok alle aktive 1Password-brukere i USA følgende varsel, "din hemmelige nøkkel eller passord ble nylig endret. Skriv inn de nye kontoopplysningene dine for å fortsette». Siden de ikke hadde endret passordene sine, var varselet bekymringsfullt.
Men den populære passordbehandleren ble ikke brutt eller under angrep. Varselet ble feilaktig sendt under et strømbrudd etter rutinemessig vedlikehold, og 1Password offentlige vedlikeholdslogger forklarte situasjonen rett etter hendelsen.
1Password ga senere ut en offisiell uttalelse å forklare hva som skjedde og be om unnskyldning. Rundt 21.00 ET den aktuelle natten fullførte 1Password planlagt vedlikehold av databaser da serverne deres mottok et uvanlig antall synkroniseringsforespørsler fra klientenheter. Systemene avviste påloggingene og returnerte en feil som klientapper leste feil som passordendringsvarsel.
Passord og data ble faktisk ikke endret eller påvirket. For ekstra sikkerhet sikrer 1Password sikkerhetskopier med kryptering. Sjekk ut vår
passordbehandlingsveiledning for hvorfor det er viktig.Avbruddet var kort, og tjenesten er i full drift igjen. "Innen 28. april var det ingen ekstra feilmeldinger, og vi var i stand til å bekrefte at rettelsene fungerte som forventet," forklarer uttalelsen.
1Password CTO Pedro Canahuati rapporterte også at en etterforskning av forstyrrelsen er i gang for å analysere årsaken. Funnene vil hjelpe til med å justere vedlikeholds- og feilhåndteringsprosessen, slik at hendelsen ikke gjentar seg.
Et raskt søk på 1Password-støtteforumene avslører imidlertid en tråd som beskriver den samme feilmeldingen. Et fellesskapsmedlem sendte inn klagen etter å ha møtt feilen på Mac-enheten deres i desember 2022, som 1Password-teamet svarte offentlig på.
Selv om det ikke var en sikkerhetshendelse, kom 1Password-skrekket bare måneder etter LastPass-brudd. LastPass, en annen populær passordbehandler, har slitt etter et alvorlig hack i fjor. Ondsinnede parter stjal brukernes URL-historikk, navn, faktureringsadresser, e-post, telefonnumre, IP-adresser og kryptert påloggingsinformasjon. Noe av LastPass-kildekoden lekket også. Vi har en liste over alternativer til LastPass for sikkerhetsbevisste lesere.
1Password har aldri vært utsatt for en sikkerhetshendelse. Men LastPass-hakket gir kontekst til de bekymringsfulle spekulasjonene som fulgte hendelsen 27. april.
Den offisielle uttalelsen satte spekulasjonene til ro. "Vi tar integriteten til dataene dine og stabiliteten til systemene våre veldig alvorlig og vil fortsette å gjøre det jobb hardt hver dag for å gjøre deg fortjent til tilliten du har gitt oss,» beroliget CTO videre 1Password kunder.